¿Te imaginas que tu coche pueda ser controlado por alguien más, sin que lo sepas, solo con tu matrícula? Pues eso es exactamente lo que podría haber sucedido con algunos vehículos Kia. Una reciente vulnerabilidad ha puesto en evidencia lo peligrosamente expuestos que están nuestros coches conectados, y cómo los hackers pueden utilizar algo tan simple como la matrícula para tomar el control remoto del vehículo.
Recientemente se descubrieron vulnerabilidades en los vehículos Kia que, aunque ya han sido corregidas, podrían haber permitido a los hackers controlar funciones clave del coche solo con la matrícula. Estos ataques podían realizarse de manera remota en cualquier coche con el hardware adecuado, y no importaba si el vehículo tenía una suscripción activa a Kia Connect o no.
Lo más preocupante es que este problema afectaba a la mayoría de los modelos fabricados después de 2013, y además de permitir el control remoto, los atacantes podían acceder a información sensible de los propietarios, como su nombre, número de teléfono, dirección de correo electrónico y domicilio.
En resumen, los hackers podrían aprovechar esta vulnerabilidad para añadirse como usuarios "fantasma" en el coche, sin que el propietario lo supiera. El problema radica en la infraestructura utilizada por los concesionarios Kia para activar los vehículos. Mediante una solicitud HTTP, los atacantes podían registrar una cuenta falsa y generar un token de acceso.
Con ese token, era posible hacer otra solicitud a un sistema del concesionario utilizando el número de identificación del vehículo (VIN), lo que permitía obtener información personal del propietario, como su nombre, número de teléfono y correo electrónico.
Un hacker podría obtener la matrícula de un coche, ingresar su número de identificación (VIN) a través de la API y, desde ahí, rastrear el vehículo o enviar comandos como desbloquear las puertas, arrancar el motor o incluso hacer sonar la bocina.
Podría interesarte leer: Resumen de Ciberseguridad: Principales Noticias de Septiembre 2024
En un posible ataque, alguien podría introducir la matrícula de un Kia en una interfaz personalizada, obtener la información del propietario y, en unos 30 segundos, controlar ciertas funciones del coche. Afortunadamente, tras ser informada de manera responsable en junio de 2024, Kia solucionó estas vulnerabilidades el 14 de agosto de 2024. No hay evidencia de que estos fallos hayan sido explotados en el mundo real.
Sin embargo, los coches, al igual que las plataformas digitales, seguirán siendo vulnerables a posibles fallos, tal como podría suceder con una actualización de software en redes sociales que exponga cuentas. Los fabricantes de vehículos enfrentan desafíos similares al integrar más tecnología en sus sistemas.